A integração passa a calcular hashes SHA-256, consultar inteligência do VirusTotal e bloquear downloads de skills classificadas como maliciosas, em meio a alertas sobre prompt injection, exposição de tokens e agentes de IA com privilégios amplos.
| Componente | OpenClaw, o marketplace ClawHub e bundles de skills usados para ampliar capacidades de agentes de IA com acesso a serviços, arquivos e dispositivos. |
| Vetor | Publicação ou instalação de skills maliciosas, prompt injection indireto em conteúdo não confiável, instâncias expostas do gateway e uso de integrações do agente para acionar ações não autorizadas. |
| Impacto | Skills e agentes comprometidos podem exfiltrar informações, executar comandos não autorizados, instalar backdoors, acionar payloads adicionais e expor credenciais quando operam com privilégios amplos. |
| Prioridade | Inventariar instalações do OpenClaw, restringir exposição de rede do gateway, revisar skills instaladas, habilitar isolamento por sandbox quando disponível e tratar tokens, chaves e sessões como material potencialmente exposto em ambientes afetados. |
| Artefatos | A nova verificação cria hash SHA-256 por skill, consulta a base do VirusTotal e usa o recurso Code Insight para analisar bundles ainda não conhecidos. |
| Exposição | Foram relatadas mais de 30.000 instâncias do gateway OpenClaw acessíveis pela internet em 8 de fevereiro de 2026, com ligação padrão em 0[.]0[.]0[.]0 na porta 18789; a maioria ainda exigia token para interação. |
| Marketplace | Uma análise de 3.984 skills do ClawHub identificou 283 itens, cerca de 7,1% do registro, com falhas críticas capazes de expor credenciais em texto claro por janela de contexto do LLM e logs de saída. |
OpenClaw passou a integrar varredura do VirusTotal ao fluxo de publicação do ClawHub, marketplace usado para distribuir skills que ampliam a capacidade de agentes de IA. O processo descrito para a nova proteção calcula um hash SHA-256 único para cada skill submetida, compara esse identificador com a base do VirusTotal e, quando não há correspondência conhecida, envia o bundle para análise adicional. A decisão automatizada usa o recurso Code Insight: skills avaliadas como benignas são aprovadas, itens suspeitos recebem alerta e pacotes classificados como maliciosos são bloqueados para download.
A medida surge após múltiplas análises apontarem skills maliciosas no ecossistema ClawHub. Esses pacotes foram descritos como ferramentas aparentemente legítimas, mas com funcionalidades ocultas para exfiltrar dados, inserir backdoors de acesso remoto ou instalar malware de roubo de informações. O risco é ampliado porque agentes como o OpenClaw não são apenas extensões passivas: eles interpretam instruções em linguagem natural, acionam ferramentas, interagem com serviços online e podem operar em dispositivos com permissões concedidas pelo usuário ou pela organização.
A própria integração de varredura não elimina toda a superfície de ataque. O conteúdo analisado destaca que cargas de prompt injection bem ocultadas ainda podem passar por verificações tradicionais ou automatizadas, especialmente quando a ação maliciosa depende da interpretação posterior de texto por um modelo. Em agentes com acesso a arquivos, tokens, contas de mensageria, automação local e conectividade de rede, uma skill ou um conteúdo externo manipulado pode transformar a decisão do modelo em uma operação real sobre o ambiente do usuário.
O fluxo defensivo introduzido no ClawHub começa antes da distribuição da skill. Cada bundle publicado recebe um hash SHA-256 e esse valor é usado para consultar a inteligência do VirusTotal. Quando o arquivo já é conhecido, a plataforma aproveita a correspondência para acelerar a avaliação. Quando o artefato não consta na base, o pacote é submetido à análise do serviço, incluindo avaliação de código por Code Insight. O resultado alimenta uma política de aprovação, advertência ou bloqueio. Além disso, skills ativas passam a ser reavaliadas diariamente, uma decisão relevante para cenários em que um pacote inicialmente limpo se torna malicioso depois de alterações, troca de payload ou mudança de infraestrutura.
A ameaça não se limita a malware convencional empacotado em uma skill. O material recebido descreve abuso de prompt injection indireto, no qual instruções hostis são escondidas em páginas, documentos ou mensagens processadas pelo agente durante uma tarefa aparentemente legítima. Em um exemplo relatado, um conteúdo web resumido pelo modelo leva o agente a acrescentar instruções controladas por atacante ao arquivo ~/.openclaw/workspace/HEARTBEAT.md e aguardar comandos externos. Em outro cenário, uma mensagem de WhatsApp especialmente construída poderia induzir a coleta de arquivos como .env e creds.json em uma instância exposta, arquivos associados a credenciais, chaves de API e tokens de sessão de plataformas conectadas.
Também foram descritas falhas de desenho e arquitetura que aumentam o impacto de uma skill maliciosa. Entre elas estão dependência do modelo para decisões de segurança, ausência de aprovação explícita antes de chamadas de ferramentas, memórias e prompts de sistema modificáveis que persistem entre sessões, armazenamento em texto claro de chaves de API e tokens de sessão, guardrails insuficientes contra prompt injection indireto e filtragem inadequada de conteúdo não confiável com sequências de controle. Quando o isolamento Docker do OpenClaw não é habilitado pelo usuário, o acesso amplo ao sistema permanece como condição de maior risco.
A superfície principal envolve usuários e organizações que instalam o OpenClaw, consomem skills do ClawHub ou permitem que agentes de IA operem sobre contas, arquivos locais, serviços externos e dispositivos. O risco aumenta quando a instalação ocorre fora de processos formais de TI, criando Shadow AI em endpoints corporativos. Nessa condição, o agente pode receber permissões úteis para produtividade, mas difíceis de enxergar por controles tradicionais de proxy, DLP e EDR quando a ação é mediada por texto, contexto do modelo ou integração de ferramenta.
O gateway do OpenClaw também é uma superfície crítica. O contexto indica que ele se liga por padrão a 0[.]0[.]0[.]0 na porta 18789, expondo a API em todas as interfaces de rede. Embora muitas instâncias acessíveis pela internet ainda exijam token para visualização e interação, a exposição amplia a janela para abuso de configuração, vazamento de token e exploração de falhas no canal de controle. Um problema corrigido em versões anteriores podia classificar tráfego proxy como local, contornando autenticação em algumas instâncias expostas. Outra falha já corrigida permitia execução remota de código em um fluxo de um clique, no qual uma página maliciosa podia induzir vazamento do token de autenticação do OpenClaw por WebSocket e depois usá-lo para comandos arbitrários no host.
O ecossistema adjacente Moltbook também aparece como vetor de exposição. Uma configuração incorreta de banco Supabase deixou chaves secretas em JavaScript do lado cliente, com acesso de leitura e escrita a dados da plataforma. O material aponta exposição de 1,5 milhão de tokens de autenticação de API, 35.000 endereços de e-mail e mensagens privadas entre agentes. Além disso, operadores maliciosos foram observados explorando a mecânica social da plataforma para direcionar outros agentes a threads com prompt injection, manipulando comportamento e tentando extrair dados sensíveis ou criptoativos.
- Instalações do OpenClaw em endpoints de usuários com acesso a arquivos locais, contas online, serviços de mensageria e automações de sistema.
- Skills do ClawHub instaladas antes ou depois da introdução da varredura, inclusive pacotes clonados e republicados com pequenas variações de nome.
- Gateways vinculados a 0[.]0[.]0[.]0 na porta 18789 e acessíveis a redes não confiáveis, principalmente quando combinados com tokens vazados ou configuração fraca.
- Ambientes que armazenam chaves de API, tokens de sessão e credenciais em arquivos locais ou no contexto de execução do agente.
- Moltbook e fluxos sociais entre agentes que consomem conteúdo não confiável por design.
A investigação defensiva deve combinar telemetria de endpoint, rede, identidade, aplicações e repositórios de configuração. No endpoint, a prioridade é identificar instalações do OpenClaw e seus processos associados, diretórios de workspace, modificações persistentes em arquivos usados pelo agente e execução de comandos acionada por integrações. Eventos que indiquem alteração inesperada de HEARTBEAT.md, criação de scripts auxiliares, novos processos filhos do agente ou acesso a arquivos de credenciais devem receber correlação com histórico de prompts, documentos processados e skills recentemente instaladas.
Em rede, a porta 18789 deve ser tratada como indicador de exposição do gateway quando aparece em interfaces não esperadas. Conexões de saída incomuns logo após processamento de páginas, documentos ou mensagens podem indicar que instruções indiretas foram convertidas em ação pelo agente. O conteúdo menciona staging de payload por serviços de paste e repositórios públicos; quando esse padrão aparecer em tráfego iniciado por um agente de IA ou por processo filho, a análise deve priorizar o encadeamento entre skill instalada, conteúdo consumido e credenciais acessadas. Indicadores devem ser tratados com cuidado operacional; exemplos de infraestrutura devem ser defangados, como glot[.]io, e investigados por categoria em vez de publicados como lista extensa.
Em identidade e aplicações, logs de uso de chaves de API, tokens de sessão e contas conectadas precisam ser revisados para ações fora do padrão. Isso inclui chamadas em horários incomuns, uso de tokens de agentes recém-criados, escrita inesperada em serviços integrados, envio de mensagens pelo usuário sem interação humana correspondente e acesso a dados que não fazem parte da tarefa legítima. Para ClawHub, a equipe deve revisar histórico de instalação, atualizações de skills, pacotes com nomes parecidos e mudanças de hash entre versões.
- Processos do OpenClaw ou de ferramentas chamadas por ele acessando
.env,creds.json, tokens de sessão ou diretórios de configuração de serviços conectados. - Arquivo
~/.openclaw/workspace/HEARTBEAT.mdalterado após resumo de página, leitura de documento ou consumo de mensagem externa. - Conexões de entrada para a porta 18789 a partir de redes não autorizadas ou exposição desse serviço em varreduras externas.
- Conexões de saída para serviços de paste, repositórios públicos ou domínios recém-observados logo após instalação ou execução de uma skill.
- Skills clonadas com pequenas variações de nome, metadados semelhantes e comportamento divergente em runtime.
- Chamadas de API feitas com tokens associados a agentes fora do padrão de uso normal, especialmente leitura de mensagens, escrita em plataformas e acesso a segredos.
A primeira medida é reduzir a superfície antes de depender exclusivamente da varredura do marketplace. Organizações devem inventariar OpenClaw em endpoints, identificar instalações não aprovadas e classificar quais agentes têm acesso a arquivos, credenciais, serviços de mensageria, automação local ou redes internas. Gateways não devem permanecer expostos em interfaces públicas por padrão. Quando o serviço for necessário, o acesso deve ser restringido por rede, autenticação forte, segmentação e monitoramento de logs. Tokens e chaves usados por agentes em ambientes com suspeita de exposição devem ser rotacionados, com revogação de sessões antigas e revisão de permissões concedidas.
No lado do agente, a mitigação exige isolamento e consentimento explícito. O sandbox Docker do OpenClaw deve ser habilitado quando disponível, especialmente para skills de origem externa ou tarefas que processam conteúdo não confiável. Chamadas de ferramenta com impacto real, como leitura de arquivos sensíveis, envio de mensagens, execução de comandos ou download de artefatos, devem exigir aprovação do usuário ou política corporativa. Memórias persistentes, prompts de sistema modificáveis e arquivos de controle devem ser protegidos contra escrita indireta por conteúdo consumido pelo modelo.
Para o ClawHub, a nova integração com VirusTotal deve ser tratada como camada adicional, não como controle único. A reavaliação diária de skills ajuda a detectar mudanças de reputação, mas não substitui revisão de permissões, análise de comportamento e controle de procedência. Equipes que usam skills devem manter lista aprovada, validar hashes de pacotes críticos, revisar atualizações antes de implantação ampla e remover itens com aviso suspeito até que a análise seja concluída. Em casos envolvendo Moltbook ou outras integrações sociais entre agentes, qualquer token exposto em cliente, log ou contexto de LLM deve ser considerado comprometido.
- Mapear instalações do OpenClaw e bloquear execução não autorizada em endpoints corporativos quando não houver governança definida.
- Restringir o gateway na porta 18789 a interfaces e redes confiáveis, evitando exposição direta à internet.
- Habilitar sandbox para execução de ferramentas e skills sempre que a função do agente permitir.
- Revisar e remover skills não aprovadas, clonadas, recém-publicadas ou marcadas como suspeitas pelo ClawHub.
- Rotacionar chaves de API, tokens de sessão e credenciais armazenadas em arquivos locais ou usadas por agentes em ambientes suspeitos.
- Adicionar aprovação explícita para ações de alto impacto, incluindo execução de comandos, leitura de segredos, envio de mensagens e download de artefatos.
- Monitorar alterações em arquivos persistentes do agente, chamadas de ferramenta e tráfego de saída após consumo de conteúdo não confiável.
0 Comentários